Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat toko kebijakan Izin Terverifikasi Amazon pertama Anda
<a name="getting-started-first-policy-store"></a>

Untuk tutorial ini, mari kita asumsikan Anda adalah pengembang aplikasi berbagi foto dan Anda mencari cara untuk mengontrol tindakan apa yang dapat dilakukan pengguna aplikasi. Anda ingin mengontrol siapa yang dapat menambahkan, menghapus, atau melihat foto dan album foto. Anda juga ingin mengontrol tindakan apa yang dapat dilakukan pengguna di akun mereka. Bisakah mereka mengelola akun mereka, bagaimana dengan akun teman? Untuk mengontrol tindakan ini, Anda akan membuat kebijakan yang mengizinkan atau melarang tindakan ini berdasarkan identitas pengguna. Izin Terverifikasi menawarkan [toko kebijakan](terminology.md#term-policy-store), atau wadah, untuk menampung kebijakan ini.

Dalam tutorial ini kita akan berjalan melalui pembuatan toko kebijakan sampel menggunakan konsol Izin Terverifikasi Amazon. Konsol menawarkan beberapa contoh opsi penyimpanan kebijakan dan kami akan membuat toko **PhotoFlash**kebijakan. Toko kebijakan ini memungkinkan *prinsipal*, seperti pengguna, untuk melakukan *tindakan*, seperti berbagi, pada *sumber daya*, seperti foto atau album.

Diagram berikut menggambarkan hubungan antara kepala sekolah,`User::alice`, dan tindakan yang dapat dia ambil pada berbagai sumber daya, yaitu PhotoFlash akunnya, `VactionPhoto94.jpg` file, album foto`alice-favorites-album`, dan grup `alice-friend-group` pengguna.

![\[PhotoFlash hubungan entitas\]](http://docs.aws.amazon.com/id_id/verifiedpermissions/latest/userguide/images/PhotoFlash.png)


Sekarang setelah Anda memahami toko **PhotoFlash**kebijakan, mari buat toko kebijakan dan jelajahi.

## Prasyarat
<a name="getting-started-prerequisites"></a>

### Mendaftar untuk Akun AWS
<a name="sign-up-for-aws"></a>

Jika Anda tidak memiliki Akun AWS, selesaikan langkah-langkah berikut untuk membuatnya.

**Untuk mendaftar untuk Akun AWS**

1. Buka [https://portal.aws.amazon.com/billing/pendaftaran.](https://portal.aws.amazon.com/billing/signup)

1. Ikuti petunjuk online.

   Bagian dari prosedur pendaftaran melibatkan menerima panggilan telepon atau pesan teks dan memasukkan kode verifikasi pada keypad telepon.

   Saat Anda mendaftar untuk sebuah Akun AWS, sebuah *Pengguna root akun AWS*dibuat. Pengguna root memiliki akses ke semua Layanan AWS dan sumber daya di akun. Sebagai praktik keamanan terbaik, tetapkan akses administratif ke pengguna, dan gunakan hanya pengguna root untuk melakukan [tugas yang memerlukan akses pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks).

AWS mengirimi Anda email konfirmasi setelah proses pendaftaran selesai. Kapan saja, Anda dapat melihat aktivitas akun Anda saat ini dan mengelola akun Anda dengan masuk [https://aws.amazon.com.rproxy.govskope.cake/](https://aws.amazon.com/) dan memilih **Akun Saya**.

### Buat pengguna dengan akses administratif
<a name="create-an-admin"></a>

Setelah Anda mendaftar Akun AWS, amankan Pengguna root akun AWS, aktifkan AWS IAM Identity Center, dan buat pengguna administratif sehingga Anda tidak menggunakan pengguna root untuk tugas sehari-hari.

**Amankan Anda Pengguna root akun AWS**

1.  Masuk ke [Konsol Manajemen AWS](https://console.aws.amazon.com/)sebagai pemilik akun dengan memilih **pengguna Root** dan memasukkan alamat Akun AWS email Anda. Di laman berikutnya, masukkan kata sandi.

   Untuk bantuan masuk dengan menggunakan pengguna root, lihat [Masuk sebagai pengguna root](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial) di *AWS Sign-In Panduan Pengguna*.

1. Mengaktifkan autentikasi multi-faktor (MFA) untuk pengguna root Anda.

   Untuk petunjuk, lihat [Mengaktifkan perangkat MFA virtual untuk pengguna Akun AWS root (konsol) Anda](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html) di *IAM Panduan Pengguna*.

**Buat pengguna dengan akses administratif**

1. Aktifkan Pusat Identitas IAM.

   Untuk mendapatkan petunjuk, silakan lihat [Mengaktifkan AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html) di *Panduan Pengguna AWS IAM Identity Center *.

1. Di Pusat Identitas IAM, berikan akses administratif ke pengguna.

   Untuk tutorial tentang menggunakan Direktori Pusat Identitas IAM sebagai sumber identitas Anda, lihat [Mengkonfigurasi akses pengguna dengan default Direktori Pusat Identitas IAM](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) di *Panduan AWS IAM Identity Center Pengguna*.

**Masuk sebagai pengguna dengan akses administratif**
+ Untuk masuk dengan pengguna Pusat Identitas IAM, gunakan URL masuk yang dikirim ke alamat email saat Anda membuat pengguna Pusat Identitas IAM.

  Untuk bantuan masuk menggunakan pengguna Pusat Identitas IAM, lihat [Masuk ke portal AWS akses](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html) di *Panduan AWS Sign-In Pengguna*.

**Tetapkan akses ke pengguna tambahan**

1. Di Pusat Identitas IAM, buat set izin yang mengikuti praktik terbaik menerapkan izin hak istimewa paling sedikit.

   Untuk petunjuknya, lihat [Membuat set izin](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html) di *Panduan AWS IAM Identity Center Pengguna*.

1. Tetapkan pengguna ke grup, lalu tetapkan akses masuk tunggal ke grup.

   Untuk petunjuk, lihat [Menambahkan grup](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html) di *Panduan AWS IAM Identity Center Pengguna*.

## Langkah 1: Buat toko PhotoFlash kebijakan
<a name="getting-started-first-sample-policy-store"></a>

Dalam prosedur berikut, Anda akan membuat toko **PhotoFlash**kebijakan menggunakan AWS konsol.

**Untuk membuat toko PhotoFlash kebijakan**

1. Di [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions), pilih **Buat toko kebijakan baru**.

1. Untuk **opsi Memulai**, pilih **Mulai dari toko kebijakan sampel**.

1. Untuk **proyek Sampel**, pilih **PhotoFlash**.

1. Pilih **Buat toko kebijakan**.

Setelah Anda melihat pesan “Toko kebijakan yang dibuat dan dikonfigurasi,” pilih **Buka ikhtisar untuk** menjelajahi toko kebijakan Anda.

## Langkah 2: Buat kebijakan
<a name="getting-started-creating-policy"></a>

Saat Anda membuat penyimpanan kebijakan, kebijakan default dibuat yang memungkinkan pengguna memiliki kontrol penuh atas akun mereka sendiri. Ini adalah kebijakan yang berguna, tetapi untuk tujuan kita, mari buat kebijakan yang lebih ketat untuk mengeksplorasi nuansa Izin Terverifikasi. Jika Anda ingat diagram yang kita lihat sebelumnya dalam tutorial, kami memiliki kepala sekolah,`User::alice`, yang dapat melakukan tindakan,`UpdateAlbum`, pada sumber daya,`alice-favorites-album`. Mari tambahkan kebijakan yang akan memungkinkan Alice, dan hanya Alice, untuk mengelola album ini.

**Untuk membuat kebijakan**

1. Di [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions), pilih penyimpanan kebijakan yang Anda buat di langkah 1.

1. Di navigasi, pilih **Kebijakan**.

1. Pilih **Buat kebijakan** dan kemudian pilih **Buat kebijakan statis**.

1. Untuk **efek Kebijakan**, pilih **Izin**.

1. Untuk **cakupan Prinsipal**, pilih Prinsip **khusus, lalu untuk **Tentukan jenis entitas**, pilih **PhotoFlash: :Pengguna**, dan untuk Tentukan pengenal** **entitas**, masukkan. **alice**

1. Untuk **cakupan Sumber daya**, pilih **Sumber daya spesifik**, lalu untuk **Tentukan jenis entitas**, pilih **PhotoFlash: :Album**, dan untuk **Tentukan pengenal entitas, masukkan**. **alice-favorites-album**

1. Untuk **cakupan Tindakan**, pilih **Kumpulan tindakan tertentu**, lalu untuk **Tindakan kebijakan ini akan berlaku**, pilih **UpdateAlbum**.

1. Pilih **Berikutnya**.

1. Di bawah **Detail**, untuk **Deskripsi kebijakan - masukkan opsional****Policy allowing alice to update alice-favorites-album.**.

1. Pilih Buat kebijakan.

Setelah membuat kebijakan, Anda dapat mengujinya di konsol Izin Terverifikasi.

## Langkah 3: Menguji toko kebijakan
<a name="getting-started-testing-first-sample-policy-store"></a>

Setelah membuat penyimpanan kebijakan dan kebijakan, Anda dapat mengujinya dengan menjalankan [permintaan otorisasi](terminology.md#term-authorization-request) simulasi menggunakan bangku uji Izin Terverifikasi.

**Untuk menguji kebijakan toko kebijakan**

1. Buka [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions/). Pilih toko polis Anda.

1. Di panel navigasi di sebelah kiri, pilih **Test bench**.

1. Pilih **mode Visual**.

1. Untuk **Principal**, lakukan hal berikut:

   1. Untuk **Principal mengambil tindakan** pilih **PhotoFlash: :User** dan untuk **Specify entity identifier, enter**. **alice**

   1. Di bawah **Atribut**, untuk **Account: Entity**, pastikan entitas **PhotoFlash: :Account** dipilih, dan untuk **Specify entity identifier, masukkan**. **alice-account**

1. Di bawah **Sumber Daya**, untuk **Sumber Daya yang digunakan oleh prinsipal**, pilih jenis sumber daya **PhotoFlash: :Album** dan untuk **Tentukan pengenal entitas, masukkan**. **alice-favorites-album**

1. Untuk **Tindakan**, pilih **PhotoFlash: :Action::” UpdateAlbum "**dari daftar tindakan yang valid.

1. Di bagian atas halaman, pilih **Jalankan permintaan otorisasi** untuk mensimulasikan permintaan otorisasi untuk kebijakan Cedar di toko kebijakan sampel. Bangku tes harus menampilkan **Keputusan: Izinkan** menunjukkan kebijakan kami berfungsi seperti yang diharapkan.

Tabel berikut memberikan nilai tambahan untuk prinsipal, sumber daya, dan tindakan yang dapat Anda uji dengan bangku tes Izin Terverifikasi. Tabel ini mencakup keputusan permintaan otorisasi berdasarkan kebijakan statis yang disertakan dengan penyimpanan kebijakan PhotoFlash sampel dan kebijakan yang Anda buat di langkah 2.


|  **Nilai pokok**  |  **Akun Utama: Nilai entitas**  |  **Nilai sumber daya**  |  **Nilai induk sumber daya**  |  **Tindakan**  |  **Keputusan otorisasi**  | 
| --- | --- | --- | --- | --- | --- | 
| PhotoFlash: :Pengguna \$1 bob | PhotoFlash: :Akun \$1 alice-akun | PhotoFlash: :Album \$1 alice-favorites-album | N/A | PhotoFlash: :Tindakan::”” UpdateAlbum | Menyangkal | 
| PhotoFlash: :Pengguna \$1 alice | PhotoFlash: :Akun \$1 alice-akun | PhotoFlash: :Foto \$1 photo.jpeg | PhotoFlash: :Akun \$1 bob-akun | PhotoFlash: :Tindakan::”” ViewPhoto | Menyangkal | 
| PhotoFlash: :Pengguna \$1 alice | PhotoFlash: :Akun \$1 alice-akun | PhotoFlash: :Foto \$1 photo.jpeg | PhotoFlash: :Akun \$1 alice-akun | PhotoFlash: :Tindakan::”” ViewPhoto | Izinkan | 
| PhotoFlash: :Pengguna \$1 alice | PhotoFlash: :Akun \$1 alice-akun | PhotoFlash: :Foto \$1 bob-photo.jpeg | PhotoFlash: :Album \$1 Bob-Vacation-Album | PhotoFlash: :Tindakan::”” DeletePhoto | Menyangkal | 

## Langkah 4: Bersihkan Sumber Daya
<a name="getting-started-clean-up"></a>

Setelah Anda selesai menjelajahi toko kebijakan Anda, hapus.

**Untuk menghapus toko kebijakan**

1. Di [konsol Izin Terverifikasi](https://console.aws.amazon.com/verifiedpermissions), pilih penyimpanan kebijakan yang Anda buat di langkah 1.

1. Di navigasi, pilih **Pengaturan**.

1. Di bawah **Hapus toko kebijakan**, pilih **Hapus toko kebijakan ini**.

1. Di **toko Hapus kebijakan ini?** kotak dialog, masukkan *hapus*, lalu pilih **Hapus**.